Сегодня мы разберем нюансы передачи персональных данных третьим данным, таким как облачные провайдеры, специализированные компании для ведения кадрового и бухгалтерского учета и.т.д.
Можно ли передавать персональные данные на обработку третьей стороне?
По закону вы имеете возможность передать персональные данные на обработку третьему лицу, главное чтобы третья сторона гарантировала безопасность этих самых данных.
Для того чтобы всё оставалось не только на словах стоит заключить договор или поручение.
В состав договора входят такие пункты как:
1. Предмет договора
В этом пункте описывается, что третья сторона вправе совершить с данными, прописываются конкретные действия такие как: сбор, запись, систематизация, обезличивание, уничтожение и.т.д. Указывается точный состав данных, в каких целях совершаются те или иные действия с данными и в какие сроки.
2. Обязанности сторон договора
В этом пункте описываются обязанности Доверителя и Поверенного. Доверитель данных обязан в прописанные сроки в договоре предоставить данные Поверенному, оплачивать Поверенному издержки из-за совершения тех или иных действий с данными, в случае если это указано в оформленных документах, принять отчёт и все предоставленные Поверенным документы, выплатить вознаграждение, указанное в договоре.
Поверенный в свою очередь обязан: Исполнять обработку в срок, уведомлять Доверителя о этапах работы, в случае прекращения договора о доверенности данных прекратить обработку и уничтожить данные в течении не более 30-ти дней.
3. Цены договора и порядок оплаты
Указывается цена оплаты услуг по обработке данных, время выплаты, полное возмещение издержек, если у Поверенного имеются при себе документы, подтверждающие сам факт издержек.
4. Ответственность сторон
В случае не выполнения обязанностей в договоре, Поверенный лишается вознаграждения, Доверитель выплачивает полное вознаграждение+сумму процент от вознаграждения, за каждый день, который задержал выплату, однако сумма не может превышать определённого процента от суммы вознаграждения, процент указывается в договоре.
5. Конфиденциальность персональных данных и требования к защите обрабатываемых персональных данных
Стороны обязуются не распространять персональные данные другим лицам и обеспечивают им безопасность, устраняя различные угрозы для них.
6. Основания и порядок прекращения договора
7. Порядок разрешения споров
8. Заключительные положения
9. Реквизиты и подписи сторон.
В какой ситуации может потребоваться договор на передачу персональных на обработку третьей стороне?
Пример. Иногда работодатели привлекают специализированные компании для ведения кадрового и бухгалтерского учета. В такой ситуации нужно правильно оформить документы в сфере персональных данных с аутсорсером и своими сотрудниками, иначе штрафов работодателю не избежать.
Поручение содержит в себе пункты:
1) что третья сторона может делать с данными, цели
2) конфиденциальность данных.
3) Соглашение о неразглашении данных.
Не смотря на пункты в обоих документах, оператор данных всегда несёт ответственность перед субъектами данных за их утечку и не доброкачественное использование.
Всегда задумывайтесь, стоит ли работать с подрядчиком, если он не хочет подписывать соглашение о неразглашении!
Можно ли пользоваться услугами облачного провайдера для хранения персональных данных?
Да, можно, однако облако провайдера должно соответствовать предписаниям 152-ФЗ и было не ниже уровня защищённости ИСПДн, которые вы в нём размещаете. Понятное дело, что облако хранящее данные для третьего уровня, мало подойдёт для информации первого уровня.
Уровень может подтвердить самооценка и заключение хранилища, они заключаются в свободной форме, также присутствует аттестация, которая заключается уже в связи с положениями ФСТЭК России.
Если выбрал провайдера с соответствующим облаком, на этом трудности заканчиваются?
Не совсем, нужно оформить документы, подобрать средства защиты в соответствии с уровнем защищённости. Некоторые провайдеры готовы помочь с оформлением и предоставить средства защиты в соответствии с уровнем УЗ.
Видео для более конкретного ознакомления.
Помочь с соблюдением требований ФЗ-152 могут специалисты Контур.